Finalmente è stato varato ufficialmente il decreto del Presidente del Consiglio sulla protezione cibernetica e la sicurezza informatica nazionale. Una buona partenza, ma la strada è ancora lunga.

Il decreto presidenziale sulla sicurezza cibernetica, intitolato “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale”, sottoscritto dal Presidente del Consiglio Mario Monti e dai ministri che compongono il Comitato per la Sicurezza il 24 gennaio di quest’anno, è stato finalmente pubblicato sulla Gazzetta Ufficiale della Repubblica Italiana il 19 marzo scorso. Questo decreto rappresenta il primo passo ufficiale verso la definizione di un piano nazionale di sicurezza cibernetica nazionale, da realizzarsi entro la fine del 2013, e verso l’allestimento di un sistema organico all’interno del quale, sotto la guida della presidenza del Consiglio, i vari organi della sicurezza nazionale possano dare il proprio contributo.

Un percorso assolutamente necessario per prevenire e gestire adeguatamente eventuali attacchi informatici alle infrastrutture critiche nazionali, un’eventualità sulla quale lo stesso Mario Monti ha lanciato un preciso monito: “un attacco cibernetico alle infrastrutture critiche nazionali può produrre effetti devastanti e immobilizzare l’intero Paese; già oggi il furto digitale di informazioni sensibili rappresenta un grave vulnus per il sistema”. L’annuncio è giunto pochi giorni dopo la pubblicazione del report annuale “Relazione sulla politica dell’informazione per la sicurezza” [PDF] stilato dal Dipartimento Informazioni per la Sicurezza (DIS), l’organo di cui si avvalgono il Presidente del Consiglio dei Ministri e l’Autorità delegata per l’esercizio delle loro attribuzioni e per assicurare l’unitarietà nella programmazione della ricerca informativa, nelle analisi e nelle attività operative dell’Agenzia Informazioni e Sicurezza Esterna (AISE) e dell’Agenzia Informazioni e Sicurezza Interna (AISI).

Il rapporto sulla sicurezza nazionale

Il rapporto del DIS illustra chiaramente come il crimine cibernetico, definito “cybercrime”, costituisca la nuova minaccia da analizzare e contrastare con la massima attenzione. In particolare, si pone l’accento sulle attività di spionaggio “in un contesto connotato da una significativa esposizione delle aziende nazionali anche a manovre di attacco cibernetico” e sull’impatto delle nuove tecnologie sul sistema Paese con la sempre maggiore centralità della minaccia cibernetica per “il suo potenziale rischio per la sicurezza delle reti di comunicazione, delle infrastrutture critiche e delle imprese strategiche nazionali”. Nel capitolo 2 – “L’impatto delle nuove tecnologie” – si fa esplicita menzione alla natura diffusa e transnazionale della minaccia cibernetica, nonché ai potenziali effetti in grado di produrre “ricadute peggiori di quelle ipotizzabili a seguito di attacchi convenzionali e di incidere sull’esercizio di libertà essenziali per il sistema democratico”.

Le soluzioni non sono ritenute di facile individuazione e applicazione perché “gli attori, i mezzi, le tecniche di attacco ed i bersagli mutano più velocemente delle contromisure”, mentre le minacce, a causa della diffusione capillare dei mezzi di comunicazione telematica, risultano gravare su tutte le piattaforme, dai sistemi complessi e strutturati dello Stato e delle grandi aziende nazionali, ai computer e ai dispositivi mobili dei singoli cittadini. Di conseguenza, rispetto alla magnitudine e all’estensione della minaccia cibernetica, il presidio di sicurezza si dispiega su due livelli: il primo sul piano della cooperazione internazionale e della codificazione di terminologie, nozioni, fattispecie, regole e pratiche comuni, e il secondo sul piano della strategia di contrasto con il concetto centrale di “sicurezza partecipata” per garantire un approccio di sistema.

Il rapporto Clusit 2013

L’annuncio eclatante di Monti è giunto pochi giorni prima della presentazione ufficiale del “Rapporto Clusit 2013 sulla sicurezza ICT in Italia”, avvenuta nel corso del Security Summit di Milano (12-14 marzo). L’atteso documento, prodotto da amici, collaboratori e conoscenti del settore, presenta uno scenario per nulla confortante nel breve-medio termine in considerazione di un vero e proprio stato di emergenza nel quale “nessuno può ritenersi al sicuro” e dove “tutti sono in qualche modo ed a vario titolo minacciati, dai singoli cittadini alle PMI fino agli stati nazionali ed alle più grandi imprese del mondo”. La frequenza degli incidenti, in un solo anno, è aumentata del 250% e, di questi, ben il 54% sono il risultato di azioni di cyber crime, in forte aumento rispetto al 36% dell’anno precedente. Il Clusit ritiene chiaramente (e giustamente, ndr) “che il tempo delle chiacchiere sia finito e che siamo arrivati al punto in cui è necessario agire, subito e con grande efficacia”, come confermato dall’analisi svolta sui principali incidenti internazionali e dal confronto con le informazioni fornite da molti vendor di settore come Cisco, IBM, Kaspersky, McAfee e TrendMicro.

Ai neofiti del settore potrà scandalizzare l’affermazione, piuttosto perentoria, che, in questo contesto, “la nostra sembra una delle poche nazioni a non occuparsi ancora seriamente del fenomeno o, quantomeno, a non voler ancora dare nella pratica il giusto peso alla gravità degli scenari che si prospettano per i mesi e gli anni a venire”. Eppure le motivazioni di un’affermazione del genere sono numerose e pesanti: “manca la necessaria consapevolezza da parte di tutti gli attori interessati, le competenze tecniche, il coinvolgimento delle parti sociali, della scuola, delle istituzioni e della politica, mancano gli investimenti e, soprattutto, manca la visione prospettica necessaria ad affrontare un problema tanto complesso, che richiede tempi di reazione rapidissimi e soluzioni multidisciplinari, coordinate, sofisticate, a fronte di un assalto continuo, su tutti i fronti, che va avanti 24 ore su 24 e che ormai costa alla nazione miliardi di euro all’anno di danni diretti e indiretti”. Perdite che ammonterebbero a quasi un punto di PIL.

Il Clusit, infine, auspica che nel 2013 si proceda con la massima celerità, senza perdere tempo prezioso, “allineando il nostro Paese agli altri paesi avanzati, per colmare le gravi lacune rappresentate dal non avere ancora {omissis} un CERT governativo, né una chiara cyber-strategia di sicurezza nazionale, dotata di organismi, uomini e mezzi adeguati e di un indirizzo politico all’altezza della situazione”.

Tradotto in parole povere, a livello istituzionale in pochi hanno compreso l’importanza della sicurezza delle informazioni e il pericolo che la minaccia cibernetica rappresenta per la nostra nazione, ma soprattutto manca la cultura di base sul tema, una cultura che può e deve essere formata al più presto, per garantire non solo la sicurezza nazionale ma anche quella personale dei cittadini.

Il rapporto Clusit riconosce l’importanza della prevista inclusione di alcune linee guida di sicurezza informatica nel testo dell’Agenda Digitale per l’Italia, nonché la firma della direttiva per la protezione cibernetica e la sicurezza informatica nazionale, ma ritiene queste misure, da sole, insufficienti. Le denunce del Clusit sono di importanza fondamentale e non vanno assolutamente sottovalutate, anzi, meritano di essere approfondite o, ancor meglio, assunte come base su cui disegnare ed attuare le future strategie di sicurezza nazionale.

La direttiva per la protezione cibernetica e la sicurezza informatica nazionale

In questo contesto di scarsa sicurezza generale e di funeste previsioni per i mesi e gli anni a venire si inserisce il tanto atteso (nel settore) decreto del Presidente del Consiglio dei Ministri del 24 gennaio 2013, emesso “in ragione delle caratteristiche della minaccia cibernetica quale rischio per la sicurezza nazionale, sia necessario definire un quadro strategico nazionale, con la specificazione dei ruoli che le diverse componenti istituzionali devono esercitare per assicurare la sicurezza cibernetica del Paese e la predisposizione di meccanismi e procedure di azione secondo un approccio interdisciplinare e coordinato, su più livelli, che coinvolga tutti gli attori pubblici, ferme restando le attribuzioni previste dalla normativa vigente per ciascuno di essi, nonché gli operatori privati interessati”. Nel decreto si cita la necessità di creare le condizioni affinché l’Italia possa partecipare a pieno titolo ai consessi di cooperazione internazionale, in ambito bilaterale, multilaterale, UE e NATO, attraverso “la definizione e precisazione di compiti ed attività delle diverse componenti istituzionali ed anche con l’individuazione di organi nazionali di riferimento per la sicurezza cibernetica in grado di interagire con le corrispondenti autorità estere”. In pratica, si ammette candidamente l’incompetenza, l’impreparazione, l’assenza di strategie di sicurezza nazionale e la profonda arretratezza della nostra nazione rispetto al panorama internazionale.

Il decreto riporta anche la necessità di sviluppare un’azione integrata fra le diverse entità istituzionali e le competenze degli operatori privati coinvolti nella gestione di sistemi e reti di interesse strategico, nonché di delineare un’architettura istituzionale basata sulla chiara individuazione dei soggetti chiamati ad intervenire e dei relativi compiti ad essi affidati. Un’architettura basata su tre distinti livelli d’intervento: uno di indirizzo politico e coordinamento strategico, uno di supporto e raccordo verso amministrazioni ed enti competenti e, infine, uno di gestione delle crisi e di coordinamento delle attività di risposta e ripristino delle funzionalità dei sistemi e delle infrastrutture. Non manca, per fortuna, la citazione dell’esigenza di “disciplinare in maniera peculiare le attività di informazione per la sicurezza con l’obiettivo di potenziare le attività di ricerca informativa e di analisi finalizzate a rafforzare la protezione cibernetica e la sicurezza informatica”, attività assegnate, in base all’articolo 7 – “Organismi di informazione per la sicurezza” – al DIS e alle agenzie AISE e AISI, organi istituiti e regolati dalla legge 3 agosto 2007, n. 124 “Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto”.

L’articolo 2 fornisce le definizioni ufficiali di termini del tutto nuovi per la legge e la normativa nazionale come “spazio cibernetico”, “sicurezza cibernetica”, “minaccia cibernetica”, “evento cibernetico”, “allarme” e “situazione di crisi”, definizioni che invito a consultare attentamente per comprendere al meglio il contesto del decreto e le disposizioni in esso contenute. L’articolo 3 prevede che il Presidente del Consiglio dei Ministri, con il supporto del Comitato Interministeriale per la Sicurezza della Repubblica (CISR), adotti il quadro strategico nazionale per la sicurezza dello spazio cibernetico e il piano nazionale per la protezione cibernetica e la sicurezza informatica nazionali, emanando e impartendo le direttive e ogni atto d’indirizzo che si rendano necessari. Secondo l’articolo 4, il CISR propone il quadro strategico nazionale, delibera il piano nazionale di sicurezza ed esercita l’alta sorveglianza sulla sua attuazione, elaborando ed approvando le linee d’indirizzo, promuovendo la partecipazione dell’Italia ai consessi internazionali ed agendo da consulente in caso di crisi.

Di fatto la struttura organizzativa disegnata nel decreto ricalca quando già attuato e sperimentato in altre nazioni, con in testa il Presidente del Consiglio e i ministri che compongono il CISR e, a supporto, l’organismo collegiale di coordinamento (art. 5) presieduto dal Direttore Generale del DIS, probabilmente coincidente con il cosiddetto “CISR Tecnico”composto dai dirigenti di vertice delle Amministrazioni rappresentate dal CISR cui si aggiunge, in occasione di sedute su temi di sicurezza cibernetica, il Consigliere Militare. Un organismo chiamato a coadiuvare il CISR nel compito di verificare l’implementazione del piano nazionale di sicurezza, nell’individuazione delle minacce e delle vulnerabilità che attentano alla sicurezza dello spazio cibernetico nazionale e nell’adozione delle opportune misure di sicurezza.

Il decreto istituisce anche il nucleo per la sicurezza cibernetica, costituito in via permanente presso l’Ufficio del Consigliere Militare che lo presiede, con l’incarico di supportare il Presidente del Consiglio nella prevenzione e la preparazione rispetto a situazioni di crisi. Il nucleo ha la funzione di raccordo fra i diversi attori istituzionali ed è composto dai rappresentanti degli organismi di intelligence DIS, AISE e AISI, dei ministeri dell’Interno, degli Affari Esteri, della Difesa, dello Sviluppo Economico e dell’Economia, del Dipartimento della Protezione Civile e dell’Agenzia per l’Italia Digitale. Il decreto, inoltre, prevede l’istituzione di un comitato scientifico composto da esperti della pubblica amministrazione, del mondo accademico e del settore privato, ubicato presso la Scuola di Formazione del Sistema di Intelligence di recente istituzione, con il compito di assistere l’organismo collegiale e il nucleo per la sicurezza cibernetica.

Considerazioni personali

Il Decreto Presidenziale per la protezione cibernetica e la sicurezza informatica nazionale è un primo importante passo verso l’attuazione di un’architettura organica di governo della sicurezza nazionale sul piano cibernetico, ma la strada da fare è ancora tanta. Finora sono solo stati individuati gli organi istituzionali preposti ai vari compiti e gli indirizzi strategici generali per imbastire il governo del cyber spazio nazionale, ma resta più che preoccupante il ritardo dell’Italia rispetto agli altri paesi europei e mondiali in tema di competenza, preparazione e cultura nel settore della sicurezza delle informazioni.

Adesso è il momento di investire in un piano nazionale di consapevolezza, formazione ed educazione sulla sicurezza che sia efficace, pervasivo e coinvolga le istituzioni, il mondo accademico, il sistema scolastico e le parti sociali, con adeguate iniziative informative e pubblicitarie promosse dagli organi ministeriali competenti. Se non si investirà adeguatamente e tempestivamente sulla conoscenza e la cultura di sicurezza, a nulla varranno le disposizioni impartite nella direttiva, con il pericolo fondato che essa rappresenti solo una “sicurezza nazionale per decreto”, più che un decreto sulla sicurezza nazionale.

Finalmente viene riservato un ruolo primario anche agli operatori privati coinvolti nella gestione delle infrastrutture critiche di rilievo nazionale ed europeo, svolta completamente per mezzo di sistemi informatici e telematici. Ad essi viene chiesto di comunicare agli organi istituzionali ogni violazione significativa della sicurezza e dell’integrità dei propri sistemi, nonché di adottare le misure e le pratiche di sicurezza definite dall’organismo collegiale di coordinamento a supporto del CISR. Sarà interessante vedere come questi compiti verranno conciliati con la salvaguardia dell’immagine commerciale, le logiche di business e le esigenze sempre più pressanti di contenimento dei costi dettate dal generale stato di crisi del mercato. Ancor più interessante sarà vedere se gli operatori privati nel settore delle infrastrutture critiche investiranno in misura adeguata nel necessario potenziamento della sicurezza dei sistemi SCADA e PLC, il cui livello di vulnerabilità resta tuttora drammatico.

Infine, il decreto si focalizza prevalentemente sulla salvaguardia del cyber spazio a difesa degli interessi nazionali del Paese e degli operatori privati, mentre non cita con la dovuta enfasi le innegabili esigenze di salvaguardia dell’incolumità e della salute dei cittadini. Sebbene siano indubbiamente importanti le minacce e i conseguenti rischi cui sono soggetti la nazione e le infrastrutture critiche nazionali, non viene posto il giusto accento sui rischi tangibili e devastanti cui sono soggetti, di riflesso, gli utilizzatori finali dei servizi erogati da stato e grandi aziende, cioè i cittadini, le famiglie, gli ospedali e gli enti di assistenza sociale e sanitaria. L’eventuale compromissione delle infrastrutture critiche nazionali in uno scenario da “saldi per incendio” e la conseguente indisponibilità prolungata di servizi primari come energia elettrica, acqua potabile, gas, telecomunicazioni, trasporti e servizi di soccorso ospedaliero, potrebbero realmente generare gravissimi effetti sulla salute e sulla sopravvivenza della popolazione.

Ben venga, quindi, questa direttiva presidenziale, a patto che venga tempestivamente seguita da iniziative efficaci di innalzamento del livello generale di sicurezza delle infrastrutture critiche nazionali, da un coordinamento efficiente e dinamico degli organi istituzionali preposti al governo della sicurezza cibernetica e da una campagna nazionale di sensibilizzazione sulle misure minime di sicurezza informatica, mettendo in primo piano la salvaguardia della popolazione, prima degli interessi commerciali e finanziari delle organizzazioni statali e private coinvolte.

La strada da percorrere è ancora tanta, non fermiamoci adesso!

Ettore Guarnaccia